Kaspersky Unified Monitoring and Analysis Platform версии 4.0.1 появились следующие возможности и доработки:
Добавилась возможность фильтровать данные виджетов на панели мониторинга с помощью переменных. Виджеты типа События строят графики на основе SQL-запросов к кластеру ClickHouse. SQL-запрос вы прописываете в свойствах виджета. Переменные позволяют вам изменять этот SQL-запрос, подставляя в него данные, которые вы видите на виджете в панели мониторинга. Виджет отфильтрует данные с учетом новых значений переменных и перестроит график. При этом вам не нужно вручную изменять SQL-запрос в свойствах виджета.
Начиная с версии KUMA 4.0.1 появилась возможность получать данные OSINT при настроенной интеграции с Kaspersky Threat Intelligence Portal. Когда вы настроите интеграцию и примете Лицензионное соглашение, события, алерты и корреляционные события будут автоматически обогащаться данными OSINT.
Добавился новый метод парсинга normalizer, который позволяет переиспользовать ранее созданный нормализатор в качестве основного или дополнительного для обработки событий.
В разделе События вы теперь можете изменять параметры фильтрации событий с возможностью добавлять несколько условий и выполнять запросы вручную или автоматически.
В разделе Cобытия с помощью кнопки Форматировать вы можете переключать формат отображения событий между однострочным и многострочным форматом с отступами.
[OOTB][AD] Account created and deleted within a short period of time → [OOTB][DEMO][AD] Account created and deleted within a short period of time
[OOTB][AD] An account failed to log on from different hosts → [OOTB][DEMO][AD] An account failed to log on from different hosts
[OOTB][AD] Membership of sensitive group was modified → [OOTB][DEMO][AD] Membership of sensitive group was modified
[OOTB][AD] Multiple accounts failed to log on from the same host → [OOTB[DEMO]][AD] Multiple accounts failed to log on from the same host
[OOTB][AD] Successful authentication with the same account on multiple hosts → [OOTB][DEMO][AD] Successful authentication with the same account on multiple hosts
[OOTB][AD] The account added and deleted from the group in a short period of time → [OOTB][DEMO][AD] The account added and deleted from the group in a short period of time
[OOTB][Net] Possible port scan → [OOTB][DEMO][Net] Possible port scan
Правила корреляции отображаются с [DEMO] только для пользователей версии KUMA 4.0.1, установленной с нуля.
Kaspersky Unified Monitoring and Analysis Platform версии 4.0 появились следующие возможности и доработки:
Доступен вариант распределенной установки KUMA с несколькими сервисами Ядра KUMA в кластере Raft. Операции записи выполняются лидером и транслируются на все серверы кластера. Операции чтения выполняются каждым сервисом из локальной базы SQLite. Таким образом создание нескольких сервисов Ядра KUMA обеспечивает не только отказоустойчивость, но и горизонтальное масштабирование.
Вместо сервисов Grafana и Victoriametrics теперь используется общий сервис Метрики. По умолчанию сервис устанавливается на сервер из группы kuma_core, указанном в файле инвентаря. Данные хранятся в директории /opt/kaspersky/kuma/metrics/<идентификатор сервиса Ядра KUMA>/data.
Обновились общие требования к установке программы: теперь поддерживаются версии Python c 3.6 по 3.12, но вы не можете одновременно использовать в одном экземпляре хосты с поддержкой Python до версии 3.6 включительно и с Python версии 3.10 и выше.
Появился набор настроек, составляющих политику безопасности при входе в веб-интерфейс KUMA. Настроенная политика безопасности позволяет снизить риск несанкционированного доступа злоумышленника к KUMA. Например, вы можете задать настройки так, чтобы исключить возможность входа в веб-интерфейс KUMA с помощью перебора пароля.
Обновился список данных, обрабатываемых KUMA. Теперь для выполнения своих основных функций KUMA может принимать, хранить и обрабатывать данные, получаемые от ГосСОПКА и из сообщений от НКЦКИ, а также данные по действующим лицензиям в KUMA.
Добавился новый механизм объединения лицензионных ключей. Если в один экземпляр KUMA добавлено несколько групп лицензий (пара активного и резервного лицензионных ключей), активные лицензионные ключи всех групп лицензий автоматически объединяются. В результате создается объединенная лицензия. В объединенной лицензии значения параметра Доступное EPS всех активных лицензионных ключей суммируются. Итоговое значение EPS прописывается в объединенной лицензии и становится доступным всем тенантам.
В список поддерживаемых источников событий добавлены новые системы: Alcatel AOS-W, Alcatel Network Switch, Avanpost PKI, Cyberprotect Cyber Backup, Dell Network Switch, Eset Protect, Fortinet FortiAnalyzer, Kaspersky DFI, Kaspersky NDR, Kaspersky Secure Mail Gateway (KSMG) версии 2.1.1, Microsoft → Windows → DNS-Server → Audit, Netwrix Endpoint Protector, Proftpd, SecurityCode Continent 3.9, Solar webProxy, SolarWinds SFTP & SCP Server file, Sophos Central, Staffcop Enterprise, VK WorkSpace Mail, Vsftpd, Конфидент - Единый центр управления Dallas Lock, Microsoft –> Windows -> Group Policy -> Operational, Bastion Synonyx, веб-сервер Angie, Cisco FWSM, Webmonitorx, Veeam Software Veeam Backup & Replication, Cisco NGIPS.
На основе обрабатываемых событий KUMA позволяет вам обнаруживать в инфраструктуре неизвестные активы, которые не входят в список уже добавленных активов KUMA. Актив при этом должен иметь IP-адрес или имя хоста. Обнаружение неизвестного актива может свидетельствовать как о штатной ситуации, так и об инциденте информационной безопасности.
Добавлен коннектор типа dfi, который используется для получения данных Kaspersky Digital Footprint Intelligence по API.
Появился механизм, позволяющий вам обнаружить атаку DLL Hijacking. DLL Hijacking – это техника атаки, которая заключается в том, что на целевую систему доставляется уязвимое легальное программное обеспечение вместе с вредоносной динамической библиотекой (DLL). Для обнаружения таких атак KUMA использует модуль AI. Модуль AI анализирует параметры запуска и исполнения программ и определяет подозрительные случаи запуска легального программного обеспечения с вредоносными библиотеками.
Изменился механизм работы дополнительных нормализаторов. Прежде, если событие успешно обрабатывалось основным нормализатором, но не подходило под условие дополнительных нормализаторов, передаваемые в дополнительный нормализатор данные терялись. Теперь KUMA сгенерирует ошибку в журнале коллектора и запишет событие в поле Raw не только в случае ошибки обработки события основным нормализатором, но и в случае ошибки обработки дополнительным нормализатором. Такие изменения позволяют отследить ошибку и доработать нормализатор.
Импорт файла со списком серверов для агентов WMI. Вы можете импортировать файл в формате .TSV со списком источников событий для агентов WMI, чтобы не заполнять вручную параметры Сервер, Домен и Тип журналов для агента WMI для каждого сервера, когда таких серверов много. В таком файле вы можете подготовить список серверов, к которым будет подключаться агент WMI, и список журналов, которые вы хотите получать от указанных серверов. После импорта и заполнения всех полей удаленных хостов при сохранении параметров выполняется проверка. Если в полях допущены ошибки, параметры не сохранятся, а допущенные ошибки будут выделены. Вы можете вручную внести необходимые правки в полях и сохранить параметры.
Появилась возможность просмотреть все заполненные поля в карточке события с помощью кнопки Посмотреть все поля события. Для быстрого получения результатов запроса мы рекомендуем выполнять поисковые запросы с определенным набором полей вместо SELECT *. Прежде в карточке события были доступны только поля, указанные в запросе. Теперь в карточке события доступна кнопка Посмотреть все поля события. При нажатии на кнопку для просмотра станут доступны все непустые поля события. При этом исходный запрос не меняется и таблица событий не перестраивается.
В виджете События, используемом для отчетов и панелей мониторинга появилась возможность использовать поля типа массив расширенной схемы событий. Если вы добавите поле SA.<имя поля> в разделе KUMA Параметры → Другое → Поля расширенной схемы событий и настроите в нормализаторе сопоставление полей, вы сможете использовать функции ClickHouse arrayJoin и groupArray для работы с массивами, а также сможете строить графики. Например, вы можете построить график наиболее используемых URL на основании полученных и нормализованных событий.
При создании виджета с графиком типа Таблица, Столбчатая диаграмма и Календарная диаграмма появилась возможность настроить отображение столбцов диаграммы с помощью градиентной заливки. Также теперь при создании виджета с графиком типа Календарная диаграмма с видом временной диаграммы Линейная диаграмма вы можете отобразить на одном виджете сразу несколько графиков. Это позволит вам сравнивать между собой данные по разным корреляционным правилам, пользователям или хостам.
Дополнены возможности для настройки отображения структуры правил нормализации. Вы можете дублировать нормализаторы, изменять расположение и последовательность экстранормализаторов, настраивать отображение структуры нормализации.
Изменилась логика активной категоризации активов. Если активы больше не удовлетворяют заданному условию, такие активы будут отвязываться от категории независимо от того, были ли активы добавлены автоматически или вручную.
В наборе функций lookup в SQL-запросах вместо операторов match и imatch теперь используется оператор like. Миграция прежних запросов не предусмотрена.
В параметрах интеграции KUMA теперь можно указать версию Kaspersky CyberTrace с помощью параметра Основная версия CyberTrace. Если в правиле обогащения KUMA вы выберете значение параметра Основная версия CyberTrace>= 5.1, KUMA будет использовать новый тип API, соответствующий версии CyberTrace 5.1, а также в CyberTrace появится возможность отображения данных статистики и ретроспективного анализа по запросам обогащения из KUMA, которые выполнены через http. При обогащении событий и добавлении индикаторов в запросе указывается тенант General.
При настройке интеграции с Kaspersky CyberTrace появилась возможность запускать ретроспективное сканирование индикаторов. Это позволяет автоматически получать оповещения по событиям, в которых изначально отсутствовали совпадения с индикаторами, но которые были обнаружены после обновления потоков данных CyberTrace.
Оптимизированы возможности работы с активными листами. Прежде доступ к данным активным листов был доступен по пути Ресурсы → Активные сервисы → Коррелятор → Просмотреть активные листы. Прежний путь остается доступным и теперь можно работать с данными активных листов по пути Ресурсы → Конфигурация ресурсов → Активные листы. Набор столбцов по умолчанию отображается в таблице активного листа без необходимости дополнительных действий для отображения информации. При необходимости вы можете настроить отображение всех столбцов таблицы активного листа. Также вы можете добавить в таблице активных листов несколько значений ключа через запятую в формате JSON.
Для повышения эффективности и удобства работы внесены изменения в веб-интерфейс KUMA. Это обеспечило возможность упорядочить выполнение операций с помощью таблицы задач, структурировать панели мониторинга и шаблоны отчетов, а также облегчить интеграцию с другими приложениями.
Оптимизирована работа с панелями мониторинга и отчетами, доступ к которым теперь можно получить также в разделе Ресурсы → Список. Добавлена возможность экспортировать и импортировать панели мониторинга и шаблоны отчетов. Экспорт и импорт могут осуществляться в любой доступный пользователю тенант. Если ресурс экспортируется или импортируется в Общий тенант, панель мониторинга или шаблон отчета считаются универсальными.
Для расширения возможностей графического представления данных на панелях мониторинга появился новый тип графика для виджетов – Спидометр. Также добавилась возможность отображения восходящих и нисходящих трендов и среднего значения на графиках.